CDR.cz - Vybráno z IT

CDR SecUpdate za 2. týden - Nová Java zranitelnost umožňuje pohodlný přístup do systémů stovek miliónů uživatelů

java-01-2013-logo
Týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.

Vítejte u druhého dílu CDR SecUpdate 2013. V dnešním díle se budeme věnovat nově objevené zranitelnosti v Javě, na kterou zatím neexistuje záplata. Počítačoví kriminálníci ji však již několik dní po celém světě zneužívají k neoprávněným přístupům do systémů obětí. Nakazit se můžete opravdu jednoduše, dnes již totiž neplatí pravidlo, že návštěva známého webu s dobrou reputací = bezpečí.

Chyby v softwaru

Java - zranitelnost nultého dne

Týká se verzí: Java 7 Update 10

Necelé 4 měsíce bylo v oraclovském světě Javy poměrně klidno. Možná si vzpomínáte na velkou událost z konce srpna 2012, kdy byla zveřejněna nezáplatovaná díra v Javě a stovky miliónů uživatelů byly vydány napospas exploit kitům a útočníkům. Vývojáři největšího kitu s názvem Blackhole se nyní rozhodli svým věrným zákazníkům připravit novoroční dárek v podobě zbrusu nové chyby v  té (v té době) nejaktuálnější verzi Javy 7 Update 10.

Exploit (kód zneužívající zranitelnost) kombinuje ve skutečnosti chyby dvě a již několik dní koluje po internetu. Jeho nasazení odhaduji nejčastěji do placených exploit kitů, které jsou v kombinaci s drive-by útoky dosti smrtelné. Potvrzená je mimo jiné existence v Nuclear Packu, který tak dostává do ruky mocnou zbraň poté, co vstoupil na začátku 2012 znovu na scénu.

java-bezpečnostní-problém-zneužití

Pokud chcete získat přehled o globálně nejničivějších zbraních internetového podsvětí, doporučuji přednášku z letošního BlackHatu State of Web Exploit Kits [PDF] od Jasona Jonese.

Chyba je svou závažností velmi podobná té srpnové - opět na ní bohužel neexistuje záplata (údajnou záplatu můžet stáhnout z ofic. webu Oraclu). Bez nejnovější verze Javy tak jste stále náchylní k prolomení bezpečnosti systému a ke garantování neautorizovaného přístupu útočníkům. Stačí pouze navštívit web, který obsahuje nebezpečný obsah a s povolenou Javou je dokonáno. Exploit byl upraven také pro Metasploit, takže se rychlost a jednoduchost zneužití bude podobat té srpnové (video).

Securelist již hlásí masivní zneužívání přes síť reklamních pozic - tzv. malvertizing.

Malvertizing - nebezpečný trend zneužívání reklamních pozic legitimních webů

Všeobecný názor bývá, že pokud se na internetu pohybuji bezpečně, nehrozí mi nebezpečí. Tento mýtus vyvrací technika, která se týká i bezpečných přístavů internetu v podobě známých zpravodajských webů. Naprostá většina z nich totiž umožňuje inzerci třetích stran, současně s tím však nedostatečně kontroluje obsah, který tyto strany inzerují. Jedná se hlavně o dynamický obsah reklam, který má inzerent možnost měnit.

Často zafunguje finanční motivace takových kampaní, kdy mají kyberzločinci za sebou silný finanční zdroj. V případě velkorysých nabídek mohou i weby s velkou globální reputací trochu uvolnit své schvalovací návyky a potenciální následky jsou nedozírné. Uživatel pak navštíví oblíbený web, který byl ještě před pěti minutami čistý, a útočníci skrz podobnou chybu demonstrovanou výše převezmou kontrolu nad jeho systémem. Opravdový problém nastává, když se počty napadených uživatelů pohybují v miliónech.

java-bezpečnostní-problém-distribuce

Malvertizingové kampaně s novou dírou v Javě se podle Kaspersky Lab objevují zejména v Rusku, Severní Americe a Brazílii.

Doporučené chování

[Aktualizace 14.1.2012 9:15] Oracle vydal patch na verzi 7 Update 11, který podle Oraclu tuto chybu záplatuje. Pokud budete používat v následujících dnech Javu, určitě aktualizujte z oficiálních stránek.

Jestli chcete mít opravdu jistotu, tak Javu zakažte. Oracle zřejmě po zkušenostech z poslední doby zjistil, že zakazování Javy je (kromě aktualizací bezpečnostních děr) pravděpodobně nejčastější administrativní úkon, a rozhodl se proto lehce inovovat. Globálně zakázat Javu nyní můžete jedním klikem přes Ovládací panel (Java Control panel - javacpl.exe). Další možnost je zakázat zásuvný modul v prohlížeči, pro oba případy Oracle vydal návod.

java-bezpečnostní-problém

Problém je, že uživatelům Javy pomalu dochází trpělivost. Dny plné sladké nevědomosti, kdy jsme si mysleli, že když Java běží v sandboxu, je skoro "nezničitelná", jsou dávno pryč. Teď se spíš bojíme, kdy se to stane znovu, a důvěra v tuto platformu z bezpečnostního hlediska se nebezpečně snižuje.

"Říkáme lidem, ať si Javu zakážou, desetkrát do roka - dnes již několik let," říká HD Moore (CSO Rapid7 a tvůrce Metasploitu). "Dostalo se to opravdu do bodu, kde byste měli říkat lidem, ať si jí nechají zakázanou pořád."

Dodává, že "Spolehlivý exploit, i když pokrývá pouze 65 - 70 % veškeré Java populace, bude stále úspěšnější, než Flash exploit, který může mít sice 100% pokrytí, ale 20% spolehlivost. Tato spolehlivost a fakt, že je [Java] nainstalovaná všude, vytváří dokonalý cíl pro lidi, kteří chtějí na zařízení instalovat svůj kód."

Na závěr si připomeňme zajímavé výsledky naší ankety o použití Javy:

Kolik-lidí-používá-Javu

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

Díly CDR Security Update SPECIÁL

Zdroje: 

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate za 2. týden - Nová Java zranitelnost umožňuje pohodlný přístup do systémů stovek miliónů uživatelů

Úterý, 15 Leden 2013 - 10:11 | Vebloud | Vím minimálně o jednom informačním systému, který...
Úterý, 15 Leden 2013 - 09:13 | WIFT | Já tyhle věci neřeším. Plně se spokojím s klíčem...
Pondělí, 14 Leden 2013 - 17:56 | Jiří Moos | Asi chápu, kam míříte, bohužel na manuální psaní...
Pondělí, 14 Leden 2013 - 17:38 | Petr H | Chtel bych videt, jak byste vyresil napr....
Pondělí, 14 Leden 2013 - 16:07 | Ladislav László | IT správce si snad umí na webu vygooglit termíny...
Pondělí, 14 Leden 2013 - 16:03 | Ladislav László | Já reagoval na tvrzení "za rozšíření javy...
Pondělí, 14 Leden 2013 - 14:46 | profesor Qwertius | Jako IT správce, který Javu dopravuje na 150...
Pondělí, 14 Leden 2013 - 13:56 | WIFT | Změnit banku. Používám tři, žádná nemá v IB Javu...
Pondělí, 14 Leden 2013 - 10:59 | Jack FX | V Enterprise segmentu java běží na serveru, ne v...
Pondělí, 14 Leden 2013 - 10:58 | Geeker | Osobně bych JAVU zakázel,ale spousta IB používá...

Zobrazit diskusi